App 违法 违规 收集 使用 个人 信息 行为 认定 方法
根据 《关于 开展 App 违法 违规 收集 使用 个人 信息 专项 治理 的 公告》, 为 监督 管理 部门 认定 App 违法 违规 收集 使用 个人 信息 行为 提供 参考, 为 App 运营 者 自查 自纠 和 网民 社会 监督 提供 指引 , 落实.网络 安全 法》 等 法律 法规, 制定 本 方法。
一 、 以下 行为 可 被 认定 为 “未 公开 收集 使用 规则”
1. 在 App 中 没有 隐私 政策, 或者 隐私 政策 中 没有 收集 使用 个人 信息 规则 ;
2. 在 App 首次 运行 时 未 通过 弹 窗 等 明显 方式 提示 用户 阅读 隐私 隐私 政策 等 收集 使用 规则.
3. 隐私 政策 等 收集 使用 规则 难以 访问, 如 进入 App 主 界面 后, 需 多于 4 次 点击 等 操作 才能 访问 到.
4. 隐私 政策 等 收集 使用 规则 难以 阅读, 如 文字 过 小 过 密 、 颜色 过 淡 、 模糊不清, 或未 提供 简体 中文 版 等.
二 、 以下 行为 可 被 认定 为 “未 明示 收集 使用 个人 信息 的 目的 、 方式 和 范围”
1. 未 逐一 列出 App (包括 委托 的 第三方 或 嵌入 的 第三方 代码 、 插件) 收集 使用 个人 信息 的 目的 、 方式 、 范围 等.
2. 收集 使用 个人 信息 的 目的 、 方式 、 范围 发生 变化 时, 未 以 适当 方式 通知 用户, 适当 方式 包括 更新 隐私 政策 等 收集 使用 规则 并 提醒 用户 阅读 等.
3. 在 申请 打开 可 收集 个人 信息 的 权限, 或 申请 收集 用户 身份证 号 、 银行 账号 、 行踪 轨迹 等 个人 敏感 信息 时, 未 同步 告知 用户 其 目的 , 或者 目的 不 明确 、 难以理解.
4. 有关 收集 使用 规则 的 内容 晦涩 难懂 、 冗长 繁琐, 用户 难以理解, 如 使用 大量 专业 术语 等.
三 、 以下 行为 可 被 认定 为 “未经 用户 同意 收集 使用 个人 信息”
1. 征得 用户 同意 前 就 开始 收集 个人 信息 或 打开 可 收集 个人 信息 的 权限.
2. 用户 明确 表示 不 同意 后, 仍 收集 个人 信息 或 打开 可 收集 个人 信息 的 权限, 或 频繁 征求 用户 同意 、 干扰 用户 正常 使用.
3. 实际 收集 的 个人 信息 或 打开 的 可 收集 个人 信息 权限 超出 用户 授权 范围.
4. 以 默认 选择 同意 隐私 政策 等 非 明示 方式 征求 用户 同意 ;
5. 未经 用户 同意 更改 其 设置 的 可 收集 个人 信息 权限 状态, 如 App 更新 时 自动 将 用户 设置 的 权限 恢复 到 默认 状态.
6. 利用 用户 个人 信息 和 算法 定向 推送 信息, 未 提供 非 定向 推送 信息 的 选项.
7. 以 欺诈 、 诱骗 等 不正当 方式 误导 用户 同意 收集 个人 信息 或 打开 可 收集 个人 信息 的 权限, 如 故意 欺瞒 、 掩饰 收集 使用 个人 信息 的 真实 目的.
8. 未 向 用户 提供 撤回 同意 收集 个人 信息 的 途径 、 方式.
9. 违反 其所 声明 的 收集 使用 规则, 收集 使用 个人 信息.
四 、 以下 行为 可 被 认定 为 “违反 必要 原则 , 收集 与其 提供 的 服务 无关 的 个人 信息”
1. 收集 的 个人 信息 类型 或 打开 的 可 收集 个人 信息 权限 与 现有 业务 功能 无关.
2. 因 用户 不 同意 收集 非 必要 个人 信息 或 打开 非 必要 权限, 拒绝 提供 业务 功能.
3. App 新增 业务 功能 申请 收集 的 个人 信息 超出 用户 原有 同意 范围, 若 用户 不 同意, 则 拒绝 提供 原有 业务 功能, 新增 业务 功能 取代 原有 业务 功能 的 除外.
4. 收集 个人 信息 的 频 度 等 超出 业务 功能 实际 需要.
5. 仅以 改善 服务 质量 、 提升 用户 体验 、 定向 推送 信息 、 研发 新 产品 等 为由, 强制 要求 用户 同意 收集 个人 信息 ;
6. 要求 用户 一次性 同意 打开 多个 可 收集 个人 信息 的 权限, 用户 不 同意 则 无法 使用.
五 、 以下 行为 可 被 认定 为 “未经 同意 向 他人 提供 个人 信息”
1. 既 未经 用户 同意, 也 未做 匿名 化 处理, App 客户 端 直接 向 第三方 提供 个人 信息, 包括 通过 客户 端 嵌入 的 第三方 代码 、 插件 等 方式 向 第三方 提供 个人 信息.
2. 既 未经 用户 同意, 也 未做 匿名 化 处理, 数据 传输 至 App 后台 服务器 后, 向 第三方 提供 其 收集 的 个人 信息.
3. App 接入 第三方 应用, 未经 用户 同意, 向 第三方 应用 提供 个人 信息 信息
六 、 以下 行为 可 被 认定 为 “未按 法律 规定 提供 删除 或 更正 个人 信息 功能” 或 “未 公布 投诉 、 举报 方式 等 信息”
1. 未 提供 有效 的 更正 、 删除 个人 信息 及 注销 用户 账号 功能.
2. 为 更正 、 删除 个人 信息 或 注销 用户 账号 设置 不必要 或 不合理 条件 ;
3) 15 个 工作日 为 限) 完成 核查 和 处理 ;
4. 更正 、 删除 个人 信息 或 注销 用户 账号 等 用户 操作 已 执行 完毕, 但 App 后台 并未 完成 的 ;
5. 未 建立 并 公布 个人 信息 安全 投诉 、 举报 渠道, 或未 在 承诺 时限 内 (承诺 时限 不得 超过 15 个 工作日, 无 承诺 时限 的 , 以 15 个 工作日 为 限) 受理 并 处理 的。